AI PlaybookEU

Art. 6 RGPD – Licéité du traitement

Les six bases juridiques de l'art. 6 RGPD en détail – avec un focus particulier sur les systèmes d'IA, le consentement, l'intérêt légitime et le changement de finalité pour l'entraînement de modèles.

11 février 20265 min de lecture
RGPDArt. 6Base juridiqueConsentementIntérêt légitimeConformité IA

Vue d'ensemble

Tout traitement de données à caractère personnel nécessite une base juridique. Sans base juridique valide, le traitement est illicite -- qu'il soit techniquement pertinent ou économiquement nécessaire.

L'art. 6 RGPD prévoit six bases juridiques possibles. Pour les systèmes d'IA, les suivantes sont particulièrement pertinentes :

  • Consentement
  • Exécution d'un contrat
  • Intérêt légitime

Cet article explique :

  • Les six bases juridiques en détail
  • Les cas d'utilisation typiques avec l'IA
  • Les domaines de tension (par ex. réentraînement, changement de finalité)
  • Un tableau comparatif pour une classification pratique

Les six bases juridiques en un coup d'oeil

Selon l'art. 6, paragraphe 1 RGPD, un traitement est licite si au moins une des conditions suivantes est remplie :

Base juridiqueContexte typique
aConsentementMarketing, traitement volontaire de données
bExécution d'un contratContrats clients, services numériques
cObligation légaleDroit fiscal, obligations de conservation
dProtection des intérêts vitauxUrgences
eMission d'intérêt publicAutorités publiques
fIntérêt légitimeAnalyses internes, optimisation par l'IA

Consentement (art. 6, paragraphe 1, point a)

Conditions

  • Libre
  • Éclairé
  • Spécifique
  • Révocable
  • Univoque

Défis dans le contexte de l'IA

  • Changement de finalité lors du réentraînement
  • Difficulté de transparence avec des modèles complexes
  • Révocation et mise à jour du modèle

Exemple : un utilisateur consent à l'utilisation de ses données pour des recommandations personnalisées. Par la suite, ces données sont utilisées pour un entraînement général du modèle.

Question : cela est-il couvert par la finalité initiale du consentement ?

Problème de révocation

En cas de retrait du consentement, se pose la question de savoir comment les données d'entraînement peuvent être retirées des modèles.

Exécution d'un contrat (art. 6, paragraphe 1, point b)

Le traitement est licite s'il est :

  • nécessaire à l'exécution d'un contrat
  • ou sert à la mise en oeuvre de mesures précontractuelles

Exemple :

  • Vérification de solvabilité pour un contrat de prêt
  • Traduction assistée par IA dans un contrat SaaS

Important : tout traitement de données utile n'est pas « nécessaire » au sens du contrat.

Obligation légale (art. 6, paragraphe 1, point c)

Le traitement de données est licite lorsqu'il est nécessaire au respect d'une obligation légale.

Exemples :

  • Lutte contre le blanchiment d'argent
  • Obligations de conservation

Pertinent pour les systèmes d'IA notamment dans :

  • La détection de fraude dans le secteur financier

Intérêts vitaux (art. 6, paragraphe 1, point d)

Rare dans le contexte de l'IA, mais possible dans :

  • Le diagnostic médical d'urgence
  • Les systèmes de protection civile

Mission d'intérêt public (art. 6, paragraphe 1, point e)

Pertinent en particulier pour :

  • Les autorités publiques
  • Les établissements d'enseignement publics
  • L'IA administrative

Condition : base juridique claire.

Intérêt légitime (art. 6, paragraphe 1, point f)

C'est la base juridique la plus fréquente en pratique pour les systèmes d'IA en contexte d'entreprise.

Conditions :

  1. Intérêt légitime du responsable du traitement
  2. Nécessité du traitement
  3. Mise en balance des intérêts en faveur du responsable du traitement

Mise en balance des intérêts en détail

Il convient d'examiner :

  • La nature des données
  • Les attentes des personnes concernées
  • L'intensité de l'atteinte
  • Les mesures de protection

Obligation de documentation

La mise en balance des intérêts doit être documentée de manière traçable.

Comparaison : consentement vs. intérêt légitime

CritèreConsentementIntérêt légitime
Révocation possibleOuiNon (mais opposition possible)
Effort de documentationÉlevéÉlevé
FlexibilitéFaibleMoyenne
Typique pour l'IAMarketing, services personnalisésOptimisation, analyses internes

Changement de finalité dans l'entraînement de l'IA

Un problème central :

Les données sont collectées pour la finalité A -- puis utilisées pour l'entraînement du modèle (finalité B).

Il convient d'examiner :

  • La finalité B est-elle compatible avec la finalité A ?
  • S'agit-il d'un nouveau traitement ?
  • Une nouvelle base juridique est-elle nécessaire ?

Scénarios IA typiques

1. Chatbot pour le service client

Base juridique :

  • Exécution d'un contrat ou
  • Intérêt légitime

2. IA de recrutement RH

Base juridique :

  • Intérêt légitime
  • Consentement le cas échéant

3. Personnalisation marketing

Base juridique :

  • Consentement ou
  • Intérêt légitime (avec prudence)

Lien avec l'art. 9 RGPD

Lorsque des catégories particulières de données à caractère personnel sont concernées, l'art. 6 seul ne suffit pas -- l'art. 9 doit également être examiné.

Mise en oeuvre pratique

Étape 1 -- Définir la base juridique par traitement

Pas de manière globale, mais par finalité.

Étape 2 -- Documentation

  • Justification
  • Mise en balance des intérêts
  • Textes de consentement

Étape 3 -- Définition de la finalité

  • Définir clairement la finalité d'entraînement
  • Définir l'amélioration du modèle
  • Documenter le changement de finalité

Étape 4 -- Transparence

  • Mettre à jour la politique de confidentialité
  • Expliquer l'utilisation de l'IA de manière compréhensible

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Prochaines étapes

  1. Identifiez tous les traitements de données liés à l'IA.
  2. Attribuez une base juridique concrète à chaque traitement.
  3. Documentez les mises en balance des intérêts de manière traçable.
  4. Examinez les changements de finalité lors de l'entraînement des modèles.
  5. Mettez à jour votre politique de confidentialité en conséquence.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Articles connexes

RGPD et IA

Art. 5 RGPD – Principes du traitement des données à caractère personnel

Les sept principes du traitement des données selon l'art. 5 RGPD – avec des orientations spécifiques à l'IA sur la minimisation des données, la limitation des finalités, la responsabilité et les systèmes automatisés.

Lire la suite

RGPD et IA

Art. 9 RGPD – Catégories particulières de données à caractère personnel

Quelles catégories particulières de données à caractère personnel sont spécialement protégées par l'art. 9 RGPD ? Aperçu de l'interdiction de traitement, des exceptions et des risques spécifiques à l'IA comme la discrimination par proxy et les inférences sensibles.

Lire la suite

RGPD et IA

Art. 35 RGPD – Analyse d'impact relative à la protection des données (AIPD) pour les systèmes d'IA

Quand une analyse d'impact relative à la protection des données est-elle requise en vertu de l'art. 35 RGPD pour les systèmes d'IA ? Structure, processus, risques spécifiques à l'IA et lien avec la Loi sur l'IA de l'UE.

Lire la suite